Вы находитесь на странице: 1из 3

Решетневские чтения.

2014

УДК 004.056

АЛГОРИТМ УПОРЯДОЧИВАНИЯ ПРАВИЛ ФИЛЬТРАЦИИ СЕТЕВОГО ТРАФИКА


В НАБОРАХ ПРАВИЛ МЕЖСЕТЕВЫХ ЭКРАНОВ*

Т. С. Хеирхабаров

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева


Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: admin@kb-61.com

Представлено описание разработанного алгоритма упорядочивания правил фильтрации в наборах правил


межсетевых экранов на основе технологии пассивного анализа сетевого трафика. Использование разработан-
ного алгоритма позволяет повысить пропускную способность межсетевых экранов.

Ключевые слова: межсетевой экран, правила фильтрации сетевого трафика.

THE ALGORITHM OF NETWORK TRAFFIC FILTERING RULES


ORDERING IN FIREWALL RULE SETS

T. S. Kheirkhabarov

Siberian State Aerospace University named after academician M. F. Reshetnev


31, Krasnoyarsky Rabochy Av., Krasnoyarsk, 660014, Russian Federation
E-mail: admin@kb-61.com

The firewall rules ordering algorithm is described. Using this algorithm allows to increase the throughput of the
firewalls.

Keywords: firewall, network traffic filtering rules.

Межсетевые экраны (МЭ) – неотъемлемый эле- В рамках исследования технологий межсетевого


мент обеспечения сетевой безопасности. Применение экранирования автором был разработан алгоритм,
МЭ при построении систем защиты информации яв- позволяющий упорядочивать правила фильтрации
ляется не только повсеместной практикой, но и обяза- в наборах правил по частоте их срабатывания.
тельным требованием ряда нормативных документов Основу алгоритма составляет технология пассив-
в области информационной безопасности. ного анализа сетевого трафика. Она позволяет по-
Политика межсетевого экранирования (т. е. опре- строить статистическую модель проходящего через
деление того, какие сетевые потоки должны быть про- МЭ трафика и на её основе рассчитать частоту сраба-
пущены, а какие заблокированы) реализуется в МЭ тывания каждого правила фильтрации из набора пра-
набором правил фильтрации сетевого трафика. вил. Блок-схема разработанного алгоритма представ-
Структура представления наборов правил фильтрации лена на рис. 1.
подавляющего большинства современных МЭ пред- Поступающий на вход алгоритма сетевой трафик
ставляет собой линейный список. Для каждого прохо- преобразуется в массив сетевых пакетов P, из которо-
дящего через МЭ сетевого пакета осуществляется го затем восстанавливается информация о TCP- и
последовательный перебор правил из данного линей- UDP-соединениях. Эта информация сохраняется
ного списка. После нахождения первого соответст- в отдельном массиве данных C.
вующего сетевому пакету правила фильтрации пере- Для каждого соединения ci в данном массиве хра-
бор оставшихся в списке правил останавливается. нится следующая информация: IP-адрес клиента, но-
Таким образом, чем выше по списку будет стоять со- мер порта клиента, IP-адрес сервера, номер порта сер-
ответствующее правило фильтрации, тем быстрее МЭ вера, используемый протокол транспортного уровня и
примет решение об обработке сетевого пакета. Оче- количество переданных в рамках соединения сетевых
видно, что чем выше по списку будут располагаться пакетов. На основе массива C формируется сводный
наиболее часто срабатывающие правила фильтрации, массив сетевых соединения C* путём объединения
тем меньше ресурсов МЭ будет тратиться на последо- записей с одинаковыми значениями полей «IP-адрес
вательный перебор линейного списка правил. В свою клиента», «IP-адрес сервера», «№ порта сервера» и
очередь, от интенсивности использования вычисли- «Транспортный протокол». Данный массив затем сор-
тельных ресурсов МЭ во многом зависит его пропу- тируется по убыванию значения поля «Количество
скная способность. пакетов».

*Работа поддержана грантом Президента РФ молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013 г.

334
Методы и средства защиты информации

Начало

Файл дампа Сортировка


Массив
или поток массива
трафика соединений C
метаданных M

Преобразование Преобразование
в массив сетевых в массив С* Последовательная
пакетов P выгрузка правил
фильтрации из
Массив массива М
Файл
правил
i=0 импорта
фильтрации R
правил
Сохранение
Преобразование выгруженных правил
i, в массив R*
в массив
i < |P|
метаданных M
Упорядоченный
Файл
массив правил
i=0 экспорта
Нет pi имеет фильтрации R*
заголовок TCP правил
или UDP?
Конец
j,
Да j < |M|
Да Нет
pi имеет
заголовок TCP?
Расчёт Ф(mj, сj*)
Ф: M×С*→N U {0}
Подпрограмма Подпрограмма
реконструкции реконструкции
TCP соединений UDP соединений Сохранение значения
Ф(mj, сj*) в массив F
Сохранить соединение
ci в массив C
j=j+1

i=i+1
j

i
Массив F
значений
функции Ф

Рис. 1. Блок-схема разработанного алгоритма упорядочивания правил фильтрации сетевого трафика

Фрагмент массива метаданных М

№ порта
№ IP-адрес клиента IP-адрес сервера Протокол Правило фильтрации
сервера
1 192.168.2.56 10.50.10.3 TCP 80 iptables –A FORWARD –s 192.168.2.56 –d
10.50.10.3 –p TCP –dport 80 –j ACCEPT
2 192.168.2.134 10.50.10.16 TCP 1352 iptables –A FORWARD –s 192.168.2.134 –d
10.50.10.16 –p TCP –dport 1352 –j ACCEPT

Ещё одним входным параметром алгоритма явля- Далее массив метаданных M и сводный массив
ется массив правил фильтрации межсетевого экрана сетевых соединений C* поступают на вход процедуры
R, который необходимо упорядочить. На основе дан- расчёта значения функции Ф. В данной процедуре
ного массива в процедуре восстановления метадан- для каждого mk ∈ M на основании сводного массива
ных осуществляется формирование массива метадан- сетевых соединений C* осуществляется расчёт функ-
ных М. ции Ф, значением которой является неотрицательное
Для каждого rj из R в данном массиве сохраняется целое число, равное количеству срабатываний соот-
следующая информация: порядковый номер, IP-адрес ветствующего mi правила rj ∈ R: Ф: M × C*→ N ∪ {0}.
клиента, IP-адрес сервера, используемый протокол На основе значений функции Ф процедура сорти-
транспортного уровня, номер порта сервера, тексто- ровки осуществляет поиск такой перестановки эле-
вое представление соответствующего правила фильт- ментов массива M, при которой соответствующие им
рации. Фрагмент массива метаданных M представлен значения функции Ф располагаются в порядке убыва-
в таблице. ния: Ф(mi) ≥ Ф(mj) ≥ … ≥ Ф(mk). А на основе данной

335
Решетневские чтения. 2014

перестановки уже осуществляется формирование вых экранов в наборах правил позволяет снизить на-
упорядоченного массива правил R*. грузку на аппаратную составляющую межсетевых
На примере МЭ Iptables, являющегося штатным экранов и тем самым повысить их пропускную спо-
для ОС Linux, была произведена оценка эффективно- собность. При этом эффект от упорядочивания правил
сти разработанного алгоритма путём замера пропуск- будет наиболее заметен на высоконагруженных меж-
ной способности. В случае когда набор правил был сетевых экранах с большим количеством используе-
представлен всего одним правилом, разрешающим мых правил фильтрации (тысячи и десятки тысяч
прохождение любого трафика, пропускная способ- правил).
ность МЭ составила 83,56 Мбит/с. После создания
неупорядоченного набора правил фильтрации и их
загрузки в межсетевой экран среднее значение пропу-
скной способности упало более чем на 40 % – до
46,82 Мбит/с. Затем этот неупорядоченный набор
правил был упорядочен с помощью разработанного
алгоритма и снова загружен в межсетевой экран.
В результате среднее значение пропускной способно-
сти увеличилось на 30 % по сравнению с неупорядо-
ченным набором правил и составило 66 Мбит/с. Ре-
зультаты замера пропускной способности представ-
лены на рис. 2.
Таким образом, применение разработанного алго- Рис. 2. Результаты измерений пропускной
способности межсетевого экрана
ритма упорядочивания правил фильтрации межсете-
© Хеирхабаров Т. С., 2014

___________
УДК 004.056

ОБНАРУЖЕНИЕ АНОМАЛИЙ В НАБОРАХ ПРАВИЛ ФИЛЬТРАЦИИ


МЕЖСЕТЕВЫХ ЭКРАНОВ*

Т. С. Хеирхабаров, А. А. Шаляпин

Сибирский государственный аэрокосмический университет имени академика М. Ф. Решетнева


Российская Федерация, 660014, г. Красноярск, просп. им. газ. «Красноярский рабочий», 31
Е-mail: admin@kb-61.com

Представлено описание автоматизированной системы оценки правил фильтрации межсетевых экранов,


позволяющей обнаруживать аномалии в наборах правил фильтрации и вырабатывать рекомендации по их
устранению.

Ключевые слова: межсетевой экран, правила фильтрации сетевого трафика, аномалия.

DETECTING ANOMALIES IN THE FIREWALL RULE SETS

T. S. Kheirkhabarov, A. A. Shalyapin

Siberian State Aerospace University named after academician M. F. Reshetnev


31, Krasnoyarsky Rabochy Av., Krasnoyarsk, Russian Federation 660014
E-mail: admin@kb-61.com

The description of the firewall rules of automated assessment system is presented. Using this system allows to
discover and resolve anomalies in the firewall rule sets.

Keywords: firewall, network traffic filtering rules, anomaly.

На сегодняшний день межсетевые экраны (МЭ) этом, как и любое другое средство защиты информа-
являются неотъемлемой частью инфраструктуры за- ции, для надлежащего выполнения своих функций
щиты любой корпоративной компьютерной сети. При МЭ должен быть правильно настроен.

*Работа поддержана грантом Президента РФ молодым кандидатам наук, договор № 14.124.13.473-МК от 04.02.2013 г.

336